{"id":489226,"date":"2022-11-30T22:00:36","date_gmt":"2022-12-01T00:00:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-chinois-utilisant-des-peripheriques-usb-pour-cibler-des-entites-aux-philippines\/"},"modified":"2022-11-30T22:00:37","modified_gmt":"2022-12-01T00:00:37","slug":"des-pirates-informatiques-chinois-utilisant-des-peripheriques-usb-pour-cibler-des-entites-aux-philippines","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-chinois-utilisant-des-peripheriques-usb-pour-cibler-des-entites-aux-philippines\/","title":{"rendered":"Des pirates informatiques chinois utilisant des p\u00e9riph\u00e9riques USB pour cibler des entit\u00e9s aux Philippines"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur mena\u00e7ant avec un lien pr\u00e9sum\u00e9 avec la Chine a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques d&#8217;espionnage aux Philippines qui s&#8217;appuient principalement sur des p\u00e9riph\u00e9riques USB comme vecteur d&#8217;infection initial.<\/p>\n<p>Mandiant, qui fait partie de Google Cloud, suit le cluster sous son surnom non cat\u00e9goris\u00e9 <strong>UNC4191<\/strong>.  Une analyse des artefacts utilis\u00e9s dans les intrusions indique que la campagne remonte \u00e0 septembre 2021.<\/p>\n<p>&#8220;Les op\u00e9rations UNC4191 ont affect\u00e9 une gamme d&#8217;entit\u00e9s des secteurs public et priv\u00e9 principalement en Asie du Sud-Est et s&#8217;\u00e9tendant aux \u00c9tats-Unis, en Europe et \u00e0 l&#8217;APJ&#8221;, ont d\u00e9clar\u00e9 les chercheurs Ryan Tomcik, John Wolfram, Tommy Dacanay et Geoff Ackerman. <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/china-nexus-espionage-southeast-asia\" target=\"_blank\">a dit<\/a>.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cependant, m\u00eame lorsque les organisations cibl\u00e9es \u00e9taient bas\u00e9es dans d&#8217;autres endroits, les syst\u00e8mes sp\u00e9cifiques cibl\u00e9s par l&#8217;UNC4191 se sont \u00e9galement av\u00e9r\u00e9s physiquement situ\u00e9s aux Philippines.&#8221;<\/p>\n<p>Le recours \u00e0 des cl\u00e9s USB infect\u00e9es pour propager le logiciel malveillant est inhabituel, voire nouveau.  Le ver Raspberry Robin, qui a <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/SophosXOps\/status\/1594703522993508352\" target=\"_blank\">\u00e9volu\u00e9<\/a> dans un service d&#8217;acc\u00e8s initial pour les attaques ult\u00e9rieures, est connu pour utiliser des cl\u00e9s USB comme point d&#8217;entr\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Pirates de cyberespionnage\" border=\"0\" data-original-height=\"623\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1669852835_825_Des-pirates-informatiques-chinois-utilisant-des-peripheriques-USB-pour-cibler.png\" title=\"Pirates de cyberespionnage\"\/><\/div>\n<p>La soci\u00e9t\u00e9 de renseignement sur les menaces et de r\u00e9ponse aux incidents a d\u00e9clar\u00e9 que les attaques avaient conduit au d\u00e9ploiement de trois nouvelles familles de logiciels malveillants appel\u00e9es MISTCLOAK, DARKDEW, BLUEHAZE et <a rel=\"nofollow noopener\" href=\"https:\/\/nmap.org\/ncat\/\" target=\"_blank\">Ncat<\/a>ce dernier \u00e9tant un utilitaire de mise en r\u00e9seau en ligne de commande utilis\u00e9 pour cr\u00e9er un shell invers\u00e9 sur le syst\u00e8me victime.<\/p>\n<p>MISTCLOAK, pour sa part, est activ\u00e9 lorsqu&#8217;un utilisateur branche un p\u00e9riph\u00e9rique amovible compromis sur un syst\u00e8me, agissant comme une rampe de lancement pour une charge utile crypt\u00e9e appel\u00e9e DARKDEW qui est capable d&#8217;infecter les lecteurs amovibles, prolif\u00e9rant efficacement les infections.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Pirates de cyberespionnage\" border=\"0\" data-original-height=\"457\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1669852836_705_Des-pirates-informatiques-chinois-utilisant-des-peripheriques-USB-pour-cibler.png\" title=\"Pirates de cyberespionnage\"\/><\/div>\n<p>&#8220;Le logiciel malveillant se r\u00e9plique en infectant de nouveaux lecteurs amovibles connect\u00e9s \u00e0 un syst\u00e8me compromis, permettant aux charges utiles malveillantes de se propager \u00e0 d&#8217;autres syst\u00e8mes et potentiellement de collecter des donn\u00e9es \u00e0 partir de syst\u00e8mes isol\u00e9s&#8221;, ont expliqu\u00e9 les chercheurs.<\/p>\n<p>Le compte-gouttes DARKDEW sert en outre \u00e0 lancer un autre ex\u00e9cutable (&#8220;DateCheck.exe&#8221;), une version renomm\u00e9e d&#8217;une application l\u00e9gitime et sign\u00e9e connue sous le nom de &#8220;Razer Chromium Render Process&#8221; qui invoque le malware BLUEHAZE.<\/p>\n<p>BLUEHAZE, un lanceur \u00e9crit en C\/C++, fait avancer la cha\u00eene d&#8217;attaque en d\u00e9marrant une copie de Ncat pour cr\u00e9er un shell invers\u00e9 vers une adresse de commande et de contr\u00f4le (C2) cod\u00e9e en dur.<\/p>\n<p>&#8220;Nous pensons que cette activit\u00e9 pr\u00e9sente les op\u00e9rations chinoises pour obtenir et maintenir l&#8217;acc\u00e8s \u00e0 des entit\u00e9s publiques et priv\u00e9es \u00e0 des fins de collecte de renseignements li\u00e9s aux int\u00e9r\u00eats politiques et commerciaux de la Chine&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/chinese-cyber-espionage-hackers-using.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant avec un lien pr\u00e9sum\u00e9 avec la Chine a \u00e9t\u00e9 li\u00e9 \u00e0 une s\u00e9rie d&#8217;attaques d&#8217;espionnage aux Philippines qui s&#8217;appuient principalement sur des p\u00e9riph\u00e9riques USB comme vecteur d&#8217;infection initial. Mandiant, qui fait partie de Google Cloud, suit le cluster sous son surnom non cat\u00e9goris\u00e9 UNC4191. Une analyse des artefacts utilis\u00e9s dans les intrusions [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":489227,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,5663,11338,4168,4158,4165,4161,133,32776,8154,4157,4159,4171,4170,4167,4160,4163,4162,5265,17184,4394,185,4172,4169,78790,20349,4166,4164],"class_list":["post-489226","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-chinois","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-entites","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-peripheriques","tag-philippines","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-usb","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/489226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=489226"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/489226\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/489227"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=489226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=489226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=489226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}